Soll-Maßnahmen-Katalog DORA: Von der Regulierung zur prüfbaren Umsetzung
Die Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor, kurz DORA, verlangt von Finanzunternehmen weit mehr als allgemeine IT-Sicherheitsrichtlinien. Sie fordert konkrete, dokumentierte, getestete und nachweisbare Maßnahmen zur Steuerung von IKT-Risiken, IKT-Vorfällen, Wiederherstellung, Krisenkommunikation, Drittparteienrisiken, Testprogrammen und aufsichtsrechtlichen Abhilfemaßnahmen.
Ein Soll-Maßnahmen-Katalog DORA dient dabei als strukturierte Brücke zwischen Rechtstext, IT-Betrieb und Prüfungspraxis. Er beantwortet drei zentrale Fragen:
- Welche Maßnahmen verlangt DORA ausdrücklich?
- Was bedeutet dies konkret für die IT als 1st Line of Defence?
- Was müssen IKT-Risikocontrolling und IKT-Revision als 2nd und 3rd Line of Defence prüfen?
Damit wird DORA nicht nur formal umgesetzt, sondern operativ steuerbar und revisionssicher prüfbar.
Warum ein Soll-Maßnahmen-Katalog für DORA notwendig ist
DORA verwendet den Begriff „Maßnahme“ in unterschiedlichen Kontexten: Gegenmaßnahmen, Wiederherstellungsmaßnahmen, Korrekturmaßnahmen, Präventivmaßnahmen, Schutzmaßnahmen, Reaktionsmaßnahmen, Minderungsmaßnahmen, Abhilfemaßnahmen, Folgemaßnahmen, Notfallmaßnahmen und Überwachungsmaßnahmen.
Diese Begriffe sind nicht bloße redaktionelle Varianten. Sie stehen jeweils für unterschiedliche regulatorische Erwartungshaltungen. Eine Gegenmaßnahme bei einem IKT-Vorfall ist etwas anderes als eine Korrekturmaßnahme nach einem Test-Finding oder eine Notfallmaßnahme im Exit-Szenario eines kritischen IKT-Drittdienstleisters.
Ein belastbarer DORA-Maßnahmenkatalog muss daher jede Maßnahmenart einzeln erfassen und in eine prüfbare Soll-Anforderung übersetzen. Nur so kann ein Finanzunternehmen nachweisen, dass es die Anforderungen nicht nur kennt, sondern auch wirksam implementiert hat.
Die wichtigsten Maßnahmenarten nach DORA
1. Maßnahmen zum Management des IKT-Drittparteienrisikos
DORA verlangt Maßnahmen für das solide Management des IKT-Drittparteienrisikos. In der Praxis bedeutet dies, dass Finanzunternehmen ihre IKT-Dienstleister vollständig erfassen, bewerten, überwachen und steuern müssen.
Die IT muss hierfür insbesondere ein Dienstleisterinventar, Kritikalitätsbewertungen, technische Risikoanalysen, SLA-Überwachung, Exit-Pläne, Sicherheitsanforderungen und Provider-Reporting-Prozesse betreiben.
IKT-Risikocontrolling und Interne Revision müssen prüfen, ob das IKT-Dienstleisterregister vollständig ist, ob kritische Provider identifiziert wurden, ob wesentliche Services bewertet sind und ob Exit- und Kontrollmaßnahmen tatsächlich nachweisbar umgesetzt werden.
2. Gegenmaßnahmen, Wiederherstellungsmaßnahmen und Korrekturmaßnahmen
DORA verlangt, dass das Leitungsorgan über schwerwiegende IKT-bezogene Vorfälle, deren Auswirkungen sowie über Gegen-, Wiederherstellungs- und Korrekturmaßnahmen informiert wird.
Für die IT bedeutet dies: Major Incidents müssen so dokumentiert werden, dass die Geschäftsleitung entscheidungsfähig informiert wird. Dazu gehören betroffene Systeme, Auswirkungen auf kritische Funktionen, eingeleitete Gegenmaßnahmen, Recovery-Aktivitäten, Root-Cause-Analysen und Korrekturmaßnahmen.
Die Prüfung muss feststellen, ob Major-Incident-Berichte vollständig, zeitnah und nachvollziehbar erstellt wurden. Zusätzlich ist zu prüfen, ob Wiederherstellungsmaßnahmen gegen RTO und RPO bewertet und Korrekturmaßnahmen mit Owner, Frist, Status und Wirksamkeitsnachweis verfolgt wurden.
3. Präventivmaßnahmen
Die DORA-Strategie zur digitalen operationalen Resilienz muss auch die Wirksamkeit von Präventivmaßnahmen darstellen. Prävention ist damit nicht nur eine technische Sicherheitsfunktion, sondern ein Steuerungsgegenstand.
In der IT-Praxis betrifft dies unter anderem Patch-Compliance, Vulnerability Management, EDR-Abdeckung, MFA-Quote, Backup-Erfolgsrate, SIEM-Abdeckung und weitere Sicherheits-KPIs oder KRIs.
IKT-Risikocontrolling und Interne Revision müssen prüfen, ob diese Kennzahlen definiert, regelmäßig gemessen, plausibilisiert und an die zuständigen Gremien berichtet werden.
4. Schutzmaßnahmen und kryptografische Schlüssel
DORA verlangt Schutzmaßnahmen für kryptografische Schlüssel. Dies betrifft einen besonders sensiblen Bereich der Informationssicherheit, da kompromittierte Schlüssel unmittelbar Vertraulichkeit, Integrität und Authentizität gefährden können.
Operativ muss die IT ein belastbares Key-Management implementieren. Dazu gehören HSM- oder KMS-Lösungen, geregelte Schlüsselerzeugung, Schlüsselrotation, Zugriffsbeschränkungen, Rollen- und Berechtigungskonzepte, Schlüssel-Backup, Widerrufsprozesse und Protokollierung.
Die Prüfung muss feststellen, ob ein dokumentiertes Key-Management existiert, ob Schlüsselzugriffe rollenbasiert beschränkt sind, ob Rotation und Widerruf funktionieren und ob administrative Zugriffe nachvollziehbar protokolliert werden.
5. Reaktionsmaßnahmen bei IKT-bezogenen Vorfällen
DORA verlangt Reaktionsmaßnahmen bei IKT-bezogenen Vorfällen. Erkennungsmechanismen müssen Alarme auslösen, die wiederum definierte Incident-Response-Prozesse aktivieren.
Die IT muss hierfür SIEM-Regeln, SOC-Use-Cases, Alert-Schwellen, automatische Ticket-Erstellung, On-Call-Prozesse, Eskalationswege und Incident-Runbooks vorhalten.
Die Prüfung muss nachvollziehen, ob Alerts tatsächlich zu Incidents führen, ob Eskalationszeiten eingehalten werden und ob Stichproben von der technischen Erkennung bis zur Bearbeitung vollständig dokumentiert sind.
6. Wiederherstellungsmaßnahmen und Wiedergewinnungsmaßnahmen
DORA legt besonderen Wert auf Wiederherstellung. Finanzunternehmen müssen sicherstellen, dass kritische und wichtige Funktionen nach einem IKT-Vorfall priorisiert wiederaufgenommen werden.
Die IT muss Wiederanlaufreihenfolgen, RTO- und RPO-Vorgaben, Failover-Verfahren, Restore-Runbooks, Backup-Prozesse und Wiederherstellungstests betreiben.
IKT-Risikocontrolling und Interne Revision müssen prüfen, ob kritische Services priorisiert wurden, ob Wiederanlaufpläne aktuell sind und ob technische Tests die Wiederherstellungsfähigkeit tatsächlich belegen.
7. Eindämmungsmaßnahmen
Eindämmungsmaßnahmen sind im Vorfallmanagement zentral. Sie sollen verhindern, dass sich ein IKT-Vorfall weiter ausbreitet.
In der Praxis bedeutet dies: Isolierung kompromittierter Systeme, Sperrung kompromittierter Accounts, Trennung von Netzwerksegmenten, Blockierung von Indicators of Compromise, Abschaltung betroffener Schnittstellen, Quarantäne von Endpunkten und forensische Sicherung.
Die Prüfung muss feststellen, ob Containment-Runbooks vorhanden sind, ob Zuständigkeiten klar geregelt sind und ob vergangene Vorfälle zeigen, dass Eindämmung zeitnah funktioniert hat.
8. Kommunikations- und Krisenmanagementmaßnahmen
DORA verlangt Kommunikations- und Krisenmanagementmaßnahmen. Diese Anforderungen betreffen nicht nur die Kommunikationsabteilung, sondern auch die IT, weil belastbare technische Lageinformationen die Grundlage jeder internen, externen und aufsichtsrechtlichen Kommunikation sind.
Die IT muss Incident-Timelines, Service-Impact, Workarounds, Statusupdates, technische Bewertungen und Entscheidungsgrundlagen für den Krisenstab bereitstellen.
IKT-Risikocontrolling und Interne Revision müssen prüfen, ob Krisenstabsprozesse getestet wurden, ob IT-Rollen im Krisenfall besetzt sind, ob Lageberichte nachvollziehbar sind und ob Meldeentscheidungen technisch belastbar unterstützt werden.
9. Abhilfe- und Folgemaßnahmen
Abhilfe- und Folgemaßnahmen spielen insbesondere nach IKT-Vorfällen, nach aufsichtlichen Rückmeldungen, nach Tests und bei kritischen IKT-Drittdienstleistern eine zentrale Rolle.
Die IT muss externe Empfehlungen, CSIRT-Hinweise, Findings aus Tests, Provider-Feststellungen und aufsichtliche Anforderungen in konkrete Maßnahmen überführen. Dazu gehören Owner, Fristen, Priorisierung, Umsetzungsnachweise, Retests und Closure-Entscheidungen.
Die Prüfung muss feststellen, ob Abhilfemaßnahmen nicht nur formal geschlossen, sondern tatsächlich umgesetzt und wirksam getestet wurden.
10. Notfallmaßnahmen bei IKT-Drittdienstleistern
DORA verlangt angemessene Notfallmaßnahmen im Zusammenhang mit IKT-Drittdienstleistern, insbesondere bei Exit-Szenarien.
Die IT muss sicherstellen, dass ein Ausfall oder eine Beendigung eines kritischen Dienstleisterverhältnisses technisch bewältigt werden kann. Dazu gehören Datenexport, alternative Anbieter, Rückführung in eigene Systeme, Notbetrieb, Schnittstellenumstellung, Backup-Zugriff, Schlüsselübergabe und technische Migrationsfähigkeit.
IKT-Risikocontrolling und Interne Revision müssen prüfen, ob Exit- und Notfallmaßnahmen je kritischem Dienstleister realistisch, dokumentiert, getestet und technisch durchführbar sind.
11. Überwachungsmaßnahmen bei kritischen IKT-Drittdienstleistern
DORA sieht einen Überwachungsrahmen für kritische IKT-Drittdienstleister vor. Daraus ergeben sich auch für Finanzunternehmen praktische Anforderungen an Dokumentation, Evidenz und Provider-Steuerung.
Die IT muss kritische Provider so dokumentieren, dass Architekturinformationen, Serviceabhängigkeiten, Kontrollnachweise, Risikobewertungen und Provider-Maßnahmenberichte kurzfristig bereitgestellt werden können.
Die Prüfung muss feststellen, ob kritische Provider intern so geführt werden, dass aufsichtliche Überwachungsmaßnahmen unterstützt werden können.
12. Sanktionen, Korrektur- und Abhilfemaßnahmen
DORA enthält auch Regelungen zu verwaltungsrechtlichen Sanktionen und Abhilfemaßnahmen. Für die IT bedeutet dies: Kontrolllücken, fehlende Evidenz, verspätete Umsetzung oder unwirksame Maßnahmen können aufsichtsrechtlich relevant werden.
Die IT muss daher nicht nur Kontrollen betreiben, sondern ihre Wirksamkeit nachweisen. Dazu gehören Maßnahmenregister, Fristen, Owner, technische Evidenz, Managementberichte, Eskalationen, Budget- und Ressourcenplanung.
IKT-Risikocontrolling und Interne Revision müssen prüfen, ob DORA-Kontrollen nicht nur beschrieben, sondern implementiert, betrieben, getestet und revisionssicher dokumentiert sind.
Rolle der IT als 1st Line of Defence
Die IT ist unter DORA primär für die operative Umsetzung verantwortlich. Sie muss Systeme, Prozesse, Kontrollen und Nachweise bereitstellen. Dazu gehören insbesondere:
- technische Schutzkontrollen,
- Incident Detection und Response,
- Backup und Recovery,
- Krisen- und Kommunikationsunterstützung,
- Provider-Steuerung,
- Testprogramme,
- Remediation-Prozesse,
- Nachweis- und Evidenzmanagement.
Entscheidend ist: DORA verlangt keine rein konzeptionelle Umsetzung. Die Anforderungen müssen im täglichen IT-Betrieb funktionieren.
Rolle des IKT-Risikocontrollings als 2nd Line of Defence
Das IKT-Risikocontrolling muss überwachen, ob die IT die DORA-Anforderungen angemessen umsetzt und ob die Risiken wirksam gesteuert werden.
Typische Prüfungspunkte der 2nd LoD sind:
- Vollständigkeit des IKT-Risikoinventars,
- Angemessenheit der Risikobewertung,
- Wirksamkeit von KPIs und KRIs,
- Eskalation von Kontrollschwächen,
- Nachverfolgung von Maßnahmen,
- Qualität des Management-Reportings,
- Einbindung von Provider-Risiken,
- Überwachung regulatorischer Fristen.
Die 2nd LoD prüft damit primär Steuerung, Überwachung, Risikotransparenz und Eskalationsfähigkeit.
Rolle der Internen Revision als 3rd Line of Defence
Die Interne Revision prüft unabhängig, ob die DORA-Umsetzung angemessen und wirksam ist. Sie muss nicht nur Policies lesen, sondern die operative Realität testen.
Typische Prüfungshandlungen sind:
- Stichproben von Incidents,
- Prüfung von Recovery-Tests,
- Nachvollzug von Remediation-Findings,
- Kontrolle von Provider-Evidenzen,
- Prüfung von SLA-Verfehlungen,
- Bewertung von Key-Management,
- Test der Eskalations- und Krisenprozesse,
- Prüfung der Nachweisqualität gegenüber Aufsicht und Leitung.
Die 3rd LoD muss insbesondere feststellen, ob Kontrollen tatsächlich funktionieren und ob die Nachweise belastbar sind.
Der Soll-Maßnahmen-Katalog DORA macht Umsetzung prüfbar
Ein Soll-Maßnahmen-Katalog DORA ist ein zentrales Werkzeug für die praktische Umsetzung der digitalen operationalen Resilienz. Er übersetzt die regulatorischen Maßnahmenbegriffe der DORA in konkrete IT-Aktivitäten und prüfbare Kontrollhandlungen.
Der Mehrwert liegt in der Verbindung von Recht, IT-Betrieb und Prüfung:
- Die Rechtsquelle zeigt, was DORA verlangt.
- Die Soll-Anforderung beschreibt den regulatorischen Zweck.
- Die IT-Praxis zeigt, was operativ umzusetzen ist.
- Die Prüfungshandlungen zeigen, was 2nd und 3rd Line of Defence kontrollieren müssen.
Damit wird DORA von einer abstrakten Regulierung zu einem konkreten, prüfbaren und steuerbaren Maßnahmenrahmen für Finanzunternehmen.
Soll-Maßnahmen-Katalog DORA
| Quelle | Wortlaut | Maßnahmen |
|---|---|---|
| Art. 1 Abs. 1 lit. a) Nr. vi) DORA | „vi) Maßnahmen für das solide Management des IKT-Drittparteienrisikos“ | Dienstleisterinventar, Kritikalitätsbewertung, technische Risikoanalyse, Vertragskontrollen, Exit-Pläne, SLA-Überwachung, Sicherheitsanforderungen, Audit- und Reporting-Prozesse. |
| Art. 5 Abs. 2 lit. i) Nr. iii) DORA | „Gegen-, Wiederherstellungs- und Korrekturmaßnahmen“ | Management-Reports zu Major Incidents mit Gegenmaßnahmen, betroffenen Systemen und Restrisiken. |
| Art. 5 Abs. 2 lit. i) Nr. iii) DORA | „Gegen-, Wiederherstellungs- und Korrekturmaßnahmen“ | Dokumentation von Failover, Restore, Neuaufbau, Dienstwiederaufnahme, RTO-/RPO-Erreichung. |
| Art. 5 Abs. 2 lit. i) Nr. iii) DORA | „Gegen-, Wiederherstellungs- und Korrekturmaßnahmen“ | Root-Cause-Fixes, Patches, Architekturkorrekturen, Prozessanpassungen, Lessons Learned. |
| Art. 6 Abs. 8 lit. f) DORA | „Wirksamkeit von Präventivmaßnahmen“ | Patch-Compliance, Vulnerability-Management, EDR-Abdeckung, MFA-Quote, Backup-Erfolgsrate, SIEM-Abdeckung. |
| Art. 9 Abs. 1 DORA | „Gegenmaßnahmen zu organisieren“ | Firewalls, EDR, IDS/IPS, Segmentierung, Hardening, Logging, Zugriffskontrollen, Schwachstellenbehebung. |
| Art. 9 Abs. 4 lit. d) DORA | „Schutzmaßnahmen für kryptografische Schlüssel“ | HSM/KMS, Schlüsselerzeugung, Rotation, Zugriffsbeschränkung, Rollen, Schlüssel-Backup, Widerruf, Protokollierung. |
| Art. 10 Abs. 2 DORA | „Reaktionsmaßnahmen bei IKT-bezogenen Vorfällen“ | SIEM-Regeln, SOC-Use-Cases, Alert-Schwellen, automatische Tickets, On-Call, Runbooks. |
| Art. 11 Abs. 2 lit. b) DORA | „Wiederherstellungsmaßnahmen Vorrang erhalten“ | Recovery nach Kritikalität, Wiederanlaufreihenfolge, RTO/RPO, Failover-Verfahren, Restore-Runbooks. |
| Art. 11 Abs. 2 lit. c) DORA | „Eindämmungsmaßnahmen“ | Systemisolierung, Account-Sperrung, Netzwerksegment-Trennung, Blocklisten, Schnittstellenabschaltung, Quarantäne, Forensik. |
| Art. 11 Abs. 2 lit. e) DORA | „Kommunikations- und Krisenmanagementmaßnahmen“ | Incident-Timeline, Service-Impact, Workarounds, Statusupdates, Kommunikationsfreigaben. |
| Art. 11 Abs. 2 lit. e) DORA | „Kommunikations- und Krisenmanagementmaßnahmen“ | Krisenrollen, Bridge Calls, Lageboard, Entscheidungsprotokoll, Eskalationsmatrix. |
| Art. 13 Abs. 2 Unterabs. 3 DORA | „die ergriffenen Maßnahmen wirksam waren“ | PIR/RCA mit Ursache, Timeline, Reaktionsbewertung, Abweichungen, Kontrolllücken, Maßnahmenplan. |
| Art. 16 Abs. 1 Unterabs. 2 lit. a) DORA | „Mechanismen und Maßnahmen“ | Assetliste, Backup, Patchmanagement, IAM, Incident-Prozess, Dienstleisterübersicht, einfache Risikoanalyse. |
| Art. 16 Abs. 1 Unterabs. 2 lit. f) DORA | „Gegen- und Wiederherstellungsmaßnahmen“ | Mindest-BCM/DR-Fähigkeiten, kritische Systeme, Ersatzverfahren, Notfallpläne, Dienstleisterkontakte. |
| Art. 16 Abs. 1 Unterabs. 2 lit. f) DORA | „Gegen- und Wiederherstellungsmaßnahmen“ | Backups, Recovery-Tests, Systemwiederaufbau, Datenrücksicherung, Installationsmedien, Konfigurationen. |
| Art. 16 Abs. 1 Unterabs. 2 lit. f) DORA | „Sicherungs- und Wiedergewinnungsmaßnahmen“ | Backup-Policy, Backup-Jobs, Immutable/Offline Backups, Monitoring, Retention, Verschlüsselung. |
| Art. 16 Abs. 1 Unterabs. 2 lit. f) DORA | „Sicherungs- und Wiedergewinnungsmaßnahmen“ | Restore von Dateien, Datenbanken, Servern, Applikationen, Cloud-Workloads. |
| Art. 16 Abs. 1 Unterabs. 2 lit. g) DORA | „Pläne und Maßnahmen“ | Restore-Test, Notfallübung, Failover-Test, Tabletop, technische Wiederanlaufprobe. |
| Art. 17 Abs. 3 lit. e) DORA | „Gegenmaßnahmen und zusätzliche Kontrollen“ | Neue SIEM-Regeln, IOC-Blockierung, Firewall-Regeln, MFA, Monitoring-Checks, Härtung. |
| Art. 17 Abs. 3 lit. f) DORA | „Reaktionsmaßnahmen bei IKT-bezogenen Vorfällen“ | Runbooks für Malware, Ransomware, DDoS, Datenabfluss, Ausfall, Cloud-Ausfall, Provider-Ausfall. |
| Art. 19 Abs. 3 Unterabs. 1 DORA | „die Maßnahmen, die ergriffen wurden“ | Kundenimpact-Daten, betroffene Services, Zeitraum, Datenarten, Minderung, Workarounds. |
| Art. 19 Abs. 3 Unterabs. 2 DORA | „angemessene Schutzmaßnahmen“ | Passwortwechsel, MFA, Phishing-Warnung, Transaktionsprüfung, App-Update, Token-Sperrung. |
| Art. 19 Abs. 4 lit. c) DORA | „Minderungsmaßnahmen“ | Blockierung, Patch, Restore, Umleitung, Kapazitätserhöhung, Credential Reset, Segmentierung. |
| Art. 22 Abs. 1 DORA | „Abhilfe- und Folgemaßnahmen“ | CSIRT-Indikatoren, Patches, Konfigurationsänderungen, Detection Rules. |
| Art. 22 Abs. 1 DORA | „Abhilfe- und Folgemaßnahmen“ | Owner, Fristen, Statusverfolgung, Wirksamkeitsprüfung, Closure. |
| Art. 22 Abs. 1 DORA | „angewandte Abhilfemaßnahmen“ | Tickets, Changes, Logs, Screenshots, Konfigurationsstände, Testprotokolle. |
| Art. 22 Abs. 2 DORA | „ergriffenen Abhilfemaßnahmen“ | Incident-Kosten, externe Dienstleister, Ausfallkosten, Wiederherstellungskosten, Sicherheitsinvestitionen. |
| Art. 24 Abs. 1 DORA | „Korrekturmaßnahmen umgehend umzusetzen“ | Findings schließen, Konfigurationen korrigieren, Prozesse ändern, Retest. |
| Art. 26 Abs. 3 DORA | „alle erforderlichen Maßnahmen und Vorkehrungen“ | Scope, Testfenster, Freigaben, Kontakte, Sicherheitsgrenzen, Abbruchkriterien. |
| Art. 26 Abs. 6 DORA | „Berichten und Plänen mit Abhilfemaßnahmen“ | Kritikalität, Ursache, Owner, Frist, Kompensationskontrolle, Retest. |
| Art. 26 Abs. 6 DORA | „die Pläne mit Abhilfemaßnahmen“ | Maßnahmenbeschreibung, Zielzustand, Nachweis, Restrisiko, Freigabe. |
| Art. 26 Abs. 7 DORA | „die Abhilfemaßnahmen“ | Change umgesetzt, Schwachstelle behoben, Retest bestanden, Dokumentation versioniert. |
| Art. 28 Abs. 8 Unterabs. 5 DORA | „angemessene Notfallmaßnahmen“ | Datenexport, alternative Anbieter, Rückführung, Notbetrieb, Schnittstellenumstellung, Backup-Zugang. |
| Art. 30 Abs. 3 lit. a) DORA | „angemessener Korrekturmaßnahmen“ | SLA-Monitoring, Eskalation, Provider-Korrekturen bei Abweichung. |
| Art. 30 Abs. 3 lit. c) DORA | „Maßnahmen, Tools und Leit- und Richtlinien für IKT-Sicherheit“ | SOC-Berichte, ISO 27001, Pen-Tests, Verschlüsselung, Logging, IAM, Backup, Incident-Meldewege. |
| Art. 32 Abs. 1 Unterabs. 1 DORA | „gemeinsamer Maßnahmen“ | Interne Controls an ESA-/Aufsichtspositionen anpassen. |
| Art. 32 Abs. 2 DORA | „Koordinierungsmaßnahmen“ | Sektorale Warnungen, Provider-Risikoanalysen, Informationsaustausch. |
| Art. 33 Abs. 4 Unterabs. 1 DORA | „wichtigsten Überwachungsmaßnahmen“ | Evidenzen, Architekturinfos, Abhängigkeiten, Kontrollnachweise, Risikobewertungen. |
| Art. 33 Abs. 5 DORA | „Maßnahmen in Bezug auf diese kritischen IKT-Drittdienstleister“ | Koordinierte Provider-Maßnahmen, Kommunikations- und Risikoakte. |
| Art. 35 Abs. 1 lit. c) DORA | „die ergriffenen Maßnahmen“ | Provider-Maßnahmenberichte, geschlossene Findings, betroffene Services. |
| Art. 35 Abs. 1 lit. c) DORA | „die Abhilfemaßnahmen“ | Evidence Review, Kontrolltest, Audit Follow-up, SLA-Anpassung, Risiko-Neubewertung. |
| Art. 35 Abs. 1 lit. d) Nr. i) DORA | „andere Sicherheitsmaßnahmen“ | Patchfristen, Verschlüsselung, Logging, Secure Configuration, Vulnerability Remediation. |
| Art. 35 Abs. 2 lit. b) DORA | „technischen und organisatorischen Maßnahmen“ | DORA-/NIS2-Mapping, gemeinsames Evidence Repository, abgestimmte Verantwortlichkeiten. |
| Art. 35 Abs. 6 DORA | „Nichteinhaltung der Maßnahmen“ | Maßnahmenregister, Eskalation, Nachweise, Provider-Steuerung. |
| Art. 35 Abs. 6 DORA | „die betreffenden Maßnahmen“ | Eingangserfassung, Fristberechnung, Owner, täglicher Status. |
| Art. 35 Abs. 6 DORA | „Einhaltung dieser Maßnahmen“ | Umsetzung, Test, Dokumentation, Governance-Nachweis. |
| Art. 35 Abs. 8 Unterabs. 1 DORA | „der in Absatz 6 genannten Maßnahmen“ | Eskalationsberichte, Restrisiken, Provider-Verzug, Entscheidungsbedarf. |
| Art. 41 Abs. 1 lit. d) DORA | „Bewertung der Maßnahmen“ | Zielkontrolle, Vorher-/Nachher-Zustand, technische Tests, Restrisiko. |
| Art. 42 Überschrift DORA | „Folgemaßnahmen zuständiger Behörden“ | Anforderungen aufnehmen, Provider-Risiken prüfen, Vertragsänderungen, technische Maßnahmen. |
| Art. 42 Abs. 7 DORA | „aufsichtliche Folgemaßnahmen“ | Risikoanalyse, Serviceabhängigkeiten, Exit-Fähigkeit, Kompensationsmaßnahmen. |
| Art. 42 Abs. 10 DORA | „Herangehensweisen und Maßnahmen“ | akzeptieren, kompensieren, eskalieren, kündigen, migrieren. |
| Art. 44 Abs. 1 DORA | „Abmilderungsmaßnahmen und Reaktionsmaßnahmen bei Vorfällen“ | Threat Intelligence, Playbooks, Risikoindikatoren, DDoS-Abwehr, Ransomware-Readiness. |
| Art. 44 Abs. 1 DORA | „Abmilderungsmaßnahmen und Reaktionsmaßnahmen bei Vorfällen“ | Providerkontakte, Zeitzonen-Eskalation, Meldeketten, globale Incident-Kommunikation. |
| Art. 48 Abs. 2 DORA | „die Maßnahmen, die im Rahmen der Überwachungsaufgaben … ergriffen wurden“ | Konsistente Dokumentation, Evidenz, Risikobegründung. |
| Art. 50 Überschrift DORA | „Verwaltungsrechtliche Sanktionen und Abhilfemaßnahmen“ | Wirksame, belegte DORA-Kontrollen. |
| Art. 50 Abs. 2 lit. c) DORA | „Korrektur- und Abhilfemaßnahmen“ | Kontrolllücken schließen, Systeme härten, Prozesse ändern, Provider nachsteuern. |
| Art. 50 Abs. 2 lit. c) DORA | „Korrektur- und Abhilfemaßnahmen“ | Finding, Maßnahme, Owner, Frist, Test, Freigabe, Dokumentation. |
| Art. 50 Abs. 3 Unterabs. 1 DORA | „verwaltungsrechtliche Sanktionen und Abhilfemaßnahmen“ | Kontrollversagen, fehlende Evidenz oder verspätete Umsetzung vermeiden. |
| Art. 50 Abs. 3 Unterabs. 2 DORA | „Diese Sanktionen und Maßnahmen“ | Managemententscheidungen mit Ursache, Impact, Maßnahme, Frist, Ressourcenbedarf. |
| Art. 50 Abs. 4 Eingangssatz DORA | „verwaltungsrechtlichen Sanktionen bzw. Abhilfemaßnahmen“ | Sonderberichte, Sofortmaßnahmen, Prüfungszugang, Nachweise, Maßnahmenstatus. |
| Art. 50 Abs. 4 lit. c) DORA | „jeder Art von Maßnahme, auch finanzieller Art“ | Budget, Tools, Personal, Providerkosten, Projektplan. |
| Art. 50 Abs. 5 DORA | „verwaltungsrechtliche Sanktionen und Abhilfemaßnahmen“ | RACI, Kontrollverantwortliche, Freigaben, Eskalationen, Entscheidungsprotokolle. |
| Art. 50 Abs. 6 DORA | „verwaltungsrechtlichen Sanktionen oder Abhilfemaßnahmen“ | Technische Fakten, Risikoanalyse, Nachweise, Umsetzungsstand, Ursachenanalyse. |
| Art. 51 Überschrift DORA | „verwaltungsrechtlichen Sanktionen und Abhilfemaßnahmen“ | Chronologie, Maßnahmenregister, technische Evidenz, Managementinformationen. |
| Art. 51 Abs. 1 DORA | „verwaltungsrechtlichen Sanktionen und Abhilfemaßnahmen“ | Nationale Aufsichtsanforderungen in DORA-Kontrollrahmen integrieren. |
| Art. 51 Abs. 2 DORA | „verwaltungsrechtlichen Sanktion oder Abhilfemaßnahme“ | Risiken adressieren, Fristen verfolgen, Eskalationen auslösen, Kompensationskontrollen. |
| Art. 52 Abs. 1 DORA | „verwaltungsrechtliche Sanktionen oder Abhilfemaßnahmen“ | Incident- und Kontrollnachweise vorhalten. |
| Art. 52 Abs. 2 DORA | „angemessene Maßnahmen“ | Datenbereitstellung, Logexport, sichere Aktenräume, Ansprechpartner, Evidenzschutz. |